로슈진단은 제품의 취약성을 식별 및 해결하고 고객과 환자의 요구 사항 및 당국의 요구 사항에 대응할 수 있는 메커니즘을 갖추고 있습니다. 이 페이지는 로슈진단 제품의 잠재적 사이버 보안 취약성과 관련된 보고서를 받기 위한 접근법과 고객 및 기타 필요한 이해관계자에게 검증된 취약성을 알리기 위한 회사의 표준 관행에 대해 설명합니다.
귀하가 로슈의 고객인 경우/고객을 대표하는 경우, 귀하의 서비스 계약에 따른 적절한 불만 처리 및 프로세스의 보장을 위해 잠재적 사이버 보안 취약성 등의 제품 문제를 현지 로슈진단 담당 계열사에 알리십시오.
로슈진단 제품 및/또는 서비스에 대한 잠재적인 사이버 보안 취약성을 보고하려면 [email protected]으로 문의하십시오.
사이버 보안 문제를 효율적으로 해결하는 데 도움이 되도록, 귀하의 이메일을 통한 최초 통지에 다음 상세정보를 제공해 주십시오.
■ 귀하의 연락처
■ 보안 통신에서 선호하는 방법(예: PGP 키-ID 및 PGP 지문 등)
■ 취약성 발견 날짜, 시간 및 위치
■ 영향받을 가능성이 있는 로슈 제품 목록
보안 통신 채널(PGP를 통해 암호화/서명)을 확립하는 즉시, 빠른 응답을 위해 다음 상세정보를 제공해 주십시오.
■ 귀하의 결과(들)에 대한 기술적 세부사항
■ 문제 재현 단계
■ 가능한 경우: 개념 증명 활용 코드
■ 해당되는 경우: 관찰된 악용 / 관찰된 영향 / 취약성이 적극적으로 악용될 수 있다는 지표
귀하가 최초 통지 또는 일체의 후속 서신에 상세정보를 제공할 시, 보호 대상 건강 정보, 환자 정보 또는 다른 보호 대상에 관한 데이터를 포함시키지 마십시오. 로슈진단이 잠재적 사이버 보안 문제(예: 잠재적 취약성 또는 위반)를 검토 및 처리하는 데 필요한 정보만 포함시키십시오.
이 정보를 제출함으로써, 귀하는 로슈진단이 필요에 따라 정보를 사용 및 배포할 수 있다는 데 동의하며, 제출이 귀하에게 어떠한 권리나 로슈에 대한 어떠한 의무도 생성하지 않는다는 데 동의합니다.
취약성이 확인되면 제공된 세부 정보를 사용하여 로슈는 다음을 수행합니다.
로슈진단은 또한 당사의 재량에 따라 정보 공유 및 분석 조직(ISAO), 기타 정보 공유 커뮤니티에 자문을 배포 또는 발행하거나, 본 웹사이트 및 기타 정의된 웹사이트에 그러한 자문을 발표할 수 있습니다.
요청 시, 해당 자문에서 문제의 발견자를 인정합니다.
로슈는 로슈가 명시적으로 동의할 때까지 해당 발견자에게 취약성을 게시하지 말 것을 요청합니다.
